AssessITS: Integrating Procedural Guidelines and Practical Evaluation Metrics for Organizational IT and Cybersecurity Risk Assessment

In today’s digitally driven landscape, robust Information Technology (IT) risk assessment practices are essential for safeguarding systems, digital communication, and data. This paper introduces “AssessITS,” an actionable method designed to provide organizations with comprehensive guidelines for conducting IT and cybersecurity risk assessments. Drawing extensively from NIST 800-30 Rev 1, COBIT 5, and ISO 31000, “AssessITS” bridges the gap between high-level theoretical standards and practical implementation challenges. The paper outlines a step-by-step methodology that organizations can simply adopt to systematically identify, analyze, and mitigate IT risks. By simplifying complex principles into actionable procedures, this framework equips practitioners with the tools needed to perform risk assessments independently, without too much reliance on external vendors. The guidelines are developed to be straightforward, integrating practical evaluation metrics that allow for the precise quantification of asset values, threat levels, vulnerabilities, and impacts on confidentiality, integrity, and availability. This approach ensures that the risk assessment process is not only comprehensive but also accessible, enabling decision-makers to implement effective risk mitigation strategies customized to their unique operational contexts. “AssessITS” aims to enable organizations to enhance their IT security strength through practical, actionable guidance based on internationally recognized standards.

Comprehensive security risk factor identification for small reservoirs with heterogeneous data based on grey relational analysis model

Identification of security risk factors for small reservoirs is the basis for implementation of early warning systems.The manner of identification of the factors for small reservoirs is of practical significance when data are incomplete.The existing grey relational models have some disadvantages in measuring the correlation between categorical data sequences.To this end,this paper introduces a new grey relational model to analyze heterogeneous data.In this study,a set of security risk factors for small reservoirs was first constructed based on theoretical analysis,and heterogeneous data of these factors were recorded as sequences.The sequences were regarded as random variables,and the information entropy and conditional entropy between sequences were measured to analyze the relational degree between risk factors.Then,a new grey relational analysis model for heterogeneous data was constructed,and a comprehensive security risk factor identification method was developed.A case study of small reservoirs in Guangxi Zhuang Autonomous Region in China shows that the model constructed in this study is applicable to security risk factor identification for small reservoirs with heterogeneous and sparse data.

Comprehensive Information Security Evaluation Model Based on Multi-Level Decomposition Feedback for IoT

The development of the Internet of Things(IoT)calls for a comprehensive in-formation security evaluation framework to quantitatively measure the safety score and risk(S&R)value of the network urgently.In this paper,we summarize the architecture and vulnerability in IoT and propose a comprehensive information security evaluation model based on multi-level decomposition feedback.The evaluation model provides an idea for information security evaluation of IoT and guides the security decision maker for dynamic protection.Firstly,we establish an overall evaluation indicator system that includes four primary indicators of threat information,asset,vulnerability,and management,respectively.It also includes eleven secondary indicators of system protection rate,attack detection rate,confidentiality,availability,controllability,identifiability,number of vulnerabilities,vulnerability hazard level,staff organization,enterprise grading and service continuity,respectively.Then,we build the core algorithm to enable the evaluation model,wherein a novel weighting technique is developed and a quantitative method is proposed to measure the S&R value.Moreover,in order to better supervise the performance of the proposed evaluation model,we present four novel indicators includes residual risk,continuous conformity of residual risk,head-to-tail consistency and decrease ratio,respectively.Simulation results show the advantages of the proposed model in the evaluation of information security for IoT.

A Simplified ArcGIS Approach for Landslides Risk Assessment in the Province of Bergamo

The paper describes a simplified GIS approach, for landslides risk assessment in the Province of Bergamo, developed for a GIS degree thesis at the faculty of Engineering of the University of Bergamo. The subject has been and still is largely studied by many researchers with the aid of rigorous mathematical/statistical analysis tools. This work follows some procedures carried out by other studies, but at the end it has been decided to adopt a simple, fast and not rigorous way to find a solution. A following analysis, on the higher risk areas identified, has also been performed to test their reliability, allowing achieving satisfactory results. It has been planned to study the risk model more thoroughly, by taking into account other triggering causes for landslide susceptibility and to try also a rigorous approach, so as to get a better idea of the results achieved so far and how to improve them.

基于无人机倾斜摄影测量三维建模的区域黄土滑坡识别及特征分析

【研究目的】黄土滑坡是黄土地区人居与城镇建设安全的重大隐患。滑坡识别是滑坡灾害及其他研究工作的基础,因此基于无人机倾斜摄影测量三维建模从不同维度、不同视角直观快速地识别黄土滑坡并进行特征参数提取,能够为黄土滑坡风险识别及风险管理精细化研究提供技术支撑。【研究方法】以宁夏回族自治区固原市彭阳县红河镇西南部的黑牛沟村为研究区,采用无人机倾斜摄影测量数据获取、三维建模、现场验证结合地统计学分析,开展了区域黄土滑坡识别及其特征参数提取和分析。【研究结果】基于三维实景模型确定并分析研究区沟谷沿线地貌凹陷区是否存在陡壁及其周界形态,结合色调、纹理和微地貌等标志实现了黄土滑坡识别,共圈定了23个滑坡,结合现场验证移除2个非滑坡点,最终确定了21个滑坡;滑坡密集分布在主沟和支沟沟口,多呈对滑的形式出现在沟谷两侧且具有群发性;大型及特大型滑坡占比达到57.14%,滑坡的滑动方向主要以西南(阳坡)、东南(半阳坡)为主,相对高差集中在80~120 m,滑坡体坡形多呈凹形坡,滑坡体坡度主要集中在20°~30°;滑坡体土地利用类型主要为植被,其次为裸地,也有一部分为农田,道路和河流占比极少。【结论】基于无人机倾斜摄影测量构建的三维实景模型可从多维度、多视角精确快速地识别区域黄土滑坡,并分析其相关特征参数,能够弥补当前二维平面遥感影像存在的不足;还能够为滑坡易发性、危险性、易损性及风险评估等相关研究提供数据支撑。

基于集对分析理论和数字化平台的山岭隧道塌方风险评价

为更准确、更科学地完成山岭隧道塌方风险评价,提出一种基于层次分析法(AHP)-熵值法(Entropy)集对分析理论的山岭隧道塌方风险评价方法。首先,选取地质因素、设计因素、施工因素、管理因素4项因素作为塌方风险评价指标体系的准则层,选取12项因素作为指标层,运用层次分析法和熵值法分别计算2级指标权重;然后,引入集对分析理论确定指标联系度,并结合置信度准则对塌方风险的等级进行判定;接着,利用Grasshopper以及Python软件,对集对分析理论进行可视化程序开发,并将其与隧道-地质BIM交互模型进行耦合,建立基于AHP-Entropy集对分析模型的隧道塌方风险数字化分析平台;最后,结合重庆某隧道实际工程,验证隧道塌方风险评价的高效化、可视化效果。研究表明:基于集对分析理论的山岭隧道塌方风险评价数字化分析平台运行时间约为2 s,与传统的隧道塌方风险评价方法相比可以大大提高风险评价效率,同时利用AHP-Entropy法确定评价指标权重,提高了评价结果的可靠性。

基于系统论事故分析模型的油气智慧管道系统信息物理风险辨识

为了辨识油气智慧管道系统中存在的信息安全风险,通过基于系统论事故分析模型(systems-theoretic accident modeling and process,STAMP)的方法,对油气智慧管道系统的信息物理安全进行全面评估与分析。首先,系统综合分析了油气智慧管道涉及的设备、设施、工艺、元件,评估其安全性。其次,通过建立STAMP模型,深入分析了各层级、元件之间的反馈信息与控制动作,形成了明确的控制反馈回路,突显了元件之间的关联与控制关系。在此基础上,系统辨识出了潜在的信息风险因素,推导并构建了可能发生的系统失效场景。以天然气输气首站油气智慧管道系统为例,研究验证了基于STAMP模型的可行性和有效性。结果显示,该方法不仅直观地描述了元件之间的关联与控制关系,而且从物理层功能安全的角度全面考虑了信息风险,特别凸显了过程控制系统(process control systems,PCS)及易受攻击的操作员站。与传统方法相比,本研究所提出的方法将信息物理安全风险因素的识别率提升至80%以上,提高了40%以上,有助于避免不必要的安全措施冗余设计,提高了安全风险管控的准确性。

智慧城市建设中的网络信息安全风险识别及其应对策略

针对智慧城市发展过程中的网络信息安全风险与挑战,保障智慧城市建设健康持续发展,文章从智慧城市架构体系、网络信息安全风险识别、应对策略3个方面进行阐述。文章根据现有智慧城市建设经验现状,提出了智慧城市架构体系由终端数据采集层、网络层、数据层和应用层组成,并对4层结构进行了风险分析;研究了如何识别智慧城市中网络信息安全风险,指出从风险因素、风险来源和风险识别过程和方法3个方面进行描述;从智慧城市规划、管理和应用上,采用技术手段有效降低风险及其带来的损失,以提升智慧城市信息安全保障水平和促进智慧城市建设更加稳健发展。

基于有向网络的航空安全事故风险识别与评估

针对航空安全事故风险识别与评估问题,基于2019年航空安全事故,通过事件树分析方法分析风险事件间的因果关系,建立了有向加权航空安全风险网络模型。面对航空安全风险传播的情况,引入传染病模型对航空安全风险网络风险传播进行建模,对风险事件进行排序以实现航空安全风险识别,提出了航空安全风险网络风险指标与航空安全事故发生风险指标,以评估航空系统安全风险。结果发现,能见度差、飞机系统故障、设备维护不足、违规操作、疲劳、资源配置不当、应急响应措施不当、飞行准备不足、教育培训不足等应当引起管理者的关注。

风险沟通视角下突发事件融媒体信息生态系统要素关系识别研究

[目的/意义]风险沟通视角下突发事件融媒体信息生态系统构成要素的识别、要素的因果序与关键性的识别有助于该系统进行有序、分级优化,助力应急工作。[方法/过程]探讨突发事件融媒体信息生态系统结构框架,并识别其构成要素,采用模糊集理论—DEMATEL研究方法,计算各构成要素“四度”,探讨突发事件融媒体信息生态系统构成要素的因果序及关键性,并以此为依据对构成要素进行聚类分析。[结果/结论]研究识别出38个构成要素中包含17个原因要素、21个结果要素;构成要素中包含14个关键要素;聚类分析将构成要素划分为6级。研究结果为突发事件融媒体信息生态系统有序、分级优化提供参考依据。

大气多环芳烃的浓度水平、来源与健康风险评价综述

多环芳烃(PAHs)主要源于有机材料的不完全燃烧,具有生物蓄积性和毒性(致癌、致畸形和致突变),是一类持久性有毒物质。本文综述了大气PAHs的分类、排放特征、时空分布特征、来源解析和健康风险评价,根据不同相对分子质量、存在形式、化学结构进行PAHs分类。指出了PAHs浓度呈现季节性变化,变化趋势由高到低为:冬季、春季、秋季和夏季。比较了分子诊断比率(DRs)和受体模型,包括主成分分析(PCA)、化学质量平衡模型(CMB)、正矩阵分解(PMF)和多变量受体模型(Unmix)等多种PAHs源解析方法的优缺点。来源解析表明:DRs和PCA是应用最广泛的方法,但是其来源解析结果的准确性受到诸多因素的影响;PMF和Unmix相结合来解析PAHs来源,能仅根据受体部位的测量浓度来分配源,提供了PAHs源贡献的时间序列并且弥补了需要人为解读的局限性。文中展示了如何利用终身癌症风险增量(ILCR)模型将PAHs的来源分配用于评估健康风险,并在此过程中,确定了影响ILCR准确性的关键因素。以期为进一步开展大气PAHs污染相关研究提供参考。

河南省氮素农业面源污染风险评价与关键管控区识别

农业面源污染是我国水环境保护面临的重要问题,风险评价对于农业面源污染防治具有重要意义。本研究以河南省为研究区域,采用层次分析法的分级赋值方法,基于熵值法和专家打分确定各影响因子权重,构建河南省氮素农业面源污染风险多因子综合评价模型,计算河南省氮素农业面源污染风险指数并在流域尺度上进行验证,划分氮素农业面源污染的风险等级并识别关键管控区。结果表明:种植源、养殖源和生活源分别贡献河南省31.52%、38.47%和30.01%的氮素流失负荷,流失负荷呈现为西低,中、东部高的特点。河南省有39 429 km^(2)的区域存在中风险,约占河南省总面积的23.61%,有17 318 km^(2)的区域存在高风险,约占总面积的10.37%;划定距河流2 km以内的中、高风险区为一般管控区和重点管控区,面积分别为10 982 km^(2)和9 285 km^(2)。通过与同期水质自动监测数据进行相关分析,决定系数为0.82,表明模型模拟结果具有较高的精准度。综合结果表明,建立的多因子综合评价模型具有科学性和准确性,可用于氮素农业面源污染风险的识别。

基于层次分析法的矿山地质风险评价研究

本文通过对风险管理理论的分析与研究,确定风险识别方法。针对泾县矿区及其周边的地质环境风险进行了识别,建立了泾县矿区矿山地质风险评估体系,包含了地面塌陷、水土流失、矿坑坍塌3个准则层因素及12个指标层因素。采用层次分析法,分析各因素对上级指标的相对重要性,并最终确定各评价因素的复合权重,根据计算结果泾县矿区及其周边的地质环境风险处于中等风险的范围内,矿山地质风险等级为III级,并提出风险管控措施。

既有公共建筑节能改造PPP项目风险识别及评价

通过PPP模式实施既有公共建筑节能改造,可以有效解决传统改造模式融资困难的问题。但现阶段,我国PPP改造项目实践经验少,加之项目不确定性高使得项目落地困难。在已有研究基础上,选用扎根理论对既有公共建筑节能改造PPP项目的风险进行研究。利用自下而上的风险识别和归类,得到33个范畴、8个主范畴、2个副核心范畴以及1个核心范畴,并用层次分析法对风险重要性进行评价,为政府和企业在推进类似项目的实施中提供一定参考。

基于系统与场景双重分析的SOTIF方法研究

随着自动驾驶技术的发展,电子电气系统日益复杂,预期功能不足引发的危害逐渐提升。本文基于ISO 21448:2022中SOTIF开发过程,从功能规范与设计出发,识别SOTIF相关的危害并进行风险分析,识别潜在功能不足与触发条件,评估系统影响并提出改进措施,提出一种系统的、有逻辑性的将系统分析方法与场景研究相结合的自动驾驶系统预期功能安全分析方法,并通过该方法在HWA功能上的应用,验证了该方法的可行性。

基于序关系分析法的中速磁浮建设项目投资风险识别研究

磁浮列车运行时具有无需接触轨道、速度快、噪音低以及适应性强等独特优势,不仅为国家实施交通强国战略提供了重要的解决方案,还具有较好的发展潜力与市场前景。因此,文章通过序关系分析法,建立相关指标体系和多级评价模型,得出对中速磁浮建设项目投资控制影响较大的因素,并结合长沙磁浮快线进行分析。结果表明:该方法对中速磁浮建设项目投资控制有显著作用,能识别关键影响因素。

跨孔CT岩溶识别方法准确性的统计学评价

岩溶地质灾害是粤港澳大湾区引擎城市广州和深圳城市建设与地下空间开发利用面临的主要挑战之一。岩溶勘探一般综合钻探与物探信息进行溶洞识别与评估。跨孔CT物探方法因操作简便,地层信息获取能力较强,近年来在大湾区岩溶勘探中广泛应用。然而,该方法识别溶洞的精度尚待定量评估。鉴于此,收集了大量的岩溶钻探与勘探对比数据,采用模型因子法对跨孔CT岩溶识别精度进行了统计分析。结果表明:该方法能够准确地探测出溶洞顶板埋深、底板埋深与洞高,平均误差不超过5%;对顶板与底板埋深的预测精度离散性非常低,仅为5%,但洞高预测精度离散性中等,超过35%。跨孔CT岩溶识别方法的精度稳定性较好,不受CT方法类型、溶洞充填情况、发射和接收点距、钻孔类型、溶洞顶板厚度、钻孔间距、验证孔距离等因素的影响。对现行跨孔CT方法进行了简单校正,使得在不增加计算复杂性的前提下,模型平均精度提高4%,离散性降低3%。最后,分析证实洞高预测模型因子服从韦布尔分布。研究成果可为岩溶区溶洞勘探与风险评估提供理论支撑。

若羌南部山区崩塌灾害易发性评价——基于相关性分析的信息量模型

若羌县南部山区地质灾害研究程度较低,区域防灾减灾工作面临重大挑战。通过对若羌县南部山区特别是阿尔金山地区崩塌灾害的形成机理、成灾模式、影响因素等进行分析。对选取的10个因子中贡献程度较低的坡面曲率和地貌类型两项因子进行删除,保留剩余的坡度、坡向、地形起伏度、工程地质岩组类型、NDVI划分为基本因素,将道路距离、水系距离、断层距离等8个因子作为评价指标,选取栅格单元为基础评价单元进行信息量计算,构建信息量模型对研究区崩塌灾害易发性进行评价与区划。结果表明:(1)区域内划分为高、中、低、非易发区,其中高易发区总面积391.48 km^(2),占若羌县总面积的0.20%,占阿尔金山区面积的35%,共发育崩塌95处;中易发区总面积16 375.14 km^(2),占若羌县总面积的8.26%,占阿尔金山区面积的15%,共发育崩塌11处;低易发区总面积31 455.63km^(2),占若羌县总面积的15.88%,占阿尔金山区的25%,共发育崩塌灾害5处;非易发区总面积149 906.50 km^(2),占若羌县总面积的75.66%,占阿尔金山区的25%;(2)ROC曲线以下面积为0.931,说明易发性预测结果良好;(3)人类工程活动(以矿山道路建设、开发等)对崩塌灾害易发性影响最明显,距离道路小于200 m区域为地质灾害易发区,距离河流小于100 m区域易发生地质灾害,坡度在40°~50°区域地质灾害发生较明显,地形起伏度较大区域为地质灾害高发区,工程地质岩组类型为坚硬-较坚硬块状、较坚硬软弱、软弱互层状以砂岩、砾岩、泥岩为主的碎屑岩岩组及坚硬-较坚硬片状以片岩为主变质岩岩组,对地质灾害发生具一定影响。坡向、断层及NDVI在本次工作区对地质灾害影响相对较小。评价结果可为区内危险性、风险评价及区划等方面提供理论依据,为当地防灾减灾管理、地质灾害风险管控、国土空间规划和用途管制、新农村和重点工程规划建设服务等提供基础依据。

城市型石化企业大气环境风险防护区域划定研究

随着城市化进程日益加快,城市用地范围由中心城区向外扩张,原本位于郊区的石化企业开始与城市融合,石化企业周边的空地被开发成住宅区、商业区和生活区等人员密集的场所,导致城市型石化企业的出现。城市型石化企业与周边居民的矛盾日益突出,因此城市型石化企业急需设置足够的风险防护区域。本研究以华北某石化企业新建120 t/h酸性水汽提装置为例,依据《建设项目环境风险评价技术导则》(HJ 169—2018)的环境风险模拟程序和要求,对该项目环境风险进行预测。根据预测结果,以半径为960 m的范围作为大气环境风险防护区域进行重点防护。本研究可为城市型石化企业的风险防范措施落实、应急预案编制及生态环境部门的风险管理提供参考。

基于ISM-ANP的铁路外部环境安全隐患风险评价模型及应用

铁路外部环境安全隐患分布广泛、种类繁多且属性各异,给隐患排查整治工作带来挑战。为实现铁路外部环境安全隐患的定量化风险评价,以单体隐患为研究对象,通过分析铁路外部环境安全隐患导致风险事件的发生规律和事故致因机理,构建面向铁路外部环境18大类安全隐患的普适性风险评价指标体系,采用解释结构模型(ISM)分析各指标间的影响关系并建立层级网络结构,结合网络层次分析法(ANP)确定指标权重值,利用地理信息系统(GIS)对铁路外部环境安全隐患风险等级状况进行地理空间表达,以彩钢房为例对评价模型进行有效性验证。结果表明,该模型综合考虑隐患评价指标间的关联信息,相比隐患属性简单叠加的计算方式评价精度得到提高,为进一步完善铁路外部环境安全隐患排查整治工作决策提供理论依据。